Historische Daten - Systemprotokoll >> CCU3 vs. HM-IP

[scsscs]

Hallo zusammen,

Gerne würde ich mir eine HomeMatic (respektive 2 Stk. >> eine CCU3 und eine HM-IP) mit diversen Aktoren/Sensoren für eine Projektarbeit zulegen.
Dabei geht es hauptsächlich darum, möglichst viele historische Daten aus den Systemen gewinnen zu können.
Ziel ist es, anhand der generierten SystemProtokolle/Logs eine forensische Auswertung machen zu können, um Geschehenes (Aktoren, Sensoren, Alexa etc..) auszuwerten.

Im Vorfeld stellen sich mir folgende Fragen:
- Gibt es für die HM-IP auch ein Systemprotokoll (Zugriff via App?) oder gibt es das Systemprotokoll nur in der CCU3?
- Hat schon jemand versucht, lokal auf dem Smart-Phone (Samsung) die HM-IP App Daten/Logs zu analysieren? ADB shell oder via ADB backup?
- Werden in einer CCU3 die Sensoren/Aktoren automatisch geloggt oder müssen diese einzeln konfiguriert werden. Wenn ja, schaltet Ihr dieses Logging üblicherweise ein?

Ja, mir ist bewusst, dass das Log in der CCU3 auf 3000 Einträge (Ringbuffer) beschränkt ist (wenn ich richtig gelesen habe).
Ich denke das könnte wohl ein Problem betreffend Überschreiben der Logs darstellen (je nach Anzahl und Typ verbundener Geräte).
Mir ist auch bewusst, das die Daten live geloggt werden können, dies ist aber keine Option für meine Arbeit/Untersuchung.
Nochmals, es geht darum abzuklären, wie und ob sich eine forensiche Untersuchung bei einer CCU3 respektive HM-IP lohnen würde.
Dabei soll Rücksicht auf eine beim Kunden üblich installierte Basis/Konfiguration genommen werden (keine speziellen Lösungen) um HISTORISCHE Daten aus den Systemen und verbundenen Smartphones/Apps/Wearables/Sensoren/Aktoren zu gewinnen.
Auch muss natürlich der Zugang zu diesen Daten (PW mit oder ohne...ssh? root? etc..) analysiert werden.

Bemerkung: Ich hatte vor langer Zeit mal eine CCU2 in Betrieb genommen, daher ist etwas Erfahrung vorhanden.

Danke sehr für eure Antworten und Tipps...sorry für den langen Post!

LG scs

[MichaelN]

und eine HM-IP

Du meinst vermutlich einen homematic Access Point. Für eine Projekt Arbeit solltest du die korrekte Sprachregelung nutzen. Hmip können beide.

Werden in einer CCU3 die Sensoren/Aktoren automatisch geloggt oder müssen diese einzeln konfiguriert werden. Wenn ja, schaltet Ihr dieses Logging üblicherweise ein?

Du musst das bewußt einschalten und das macht man eher zur Problem Analyse.

eine forensische Auswertung

Mit welchem Ziel?

[shartelt]

iobroker…
da kannst Du beide systeme anbinden und ordentlich in ne richtige datenbank loggen

[Fonzo]

- Gibt es für die HM-IP auch ein Systemprotokoll (Zugriff via App?) oder gibt es das Systemprotokoll nur in der CCU3?

eQ-3 nutzt bei Homematic IP IPv6 verschlüsselt mit AES-128 und CCM, kommuniziert wird wie bei Homematic im 868-MHz-Funkband.

- Hat schon jemand versucht, lokal auf dem Smart-Phone (Samsung) die HM-IP App Daten/Logs zu analysieren? ADB shell oder via ADB backup?

Wenn Du Dich im Rahmen Deiner Vorbereitung mal eingelesen hättest bzw. mal die EULA zur Homematic IP App gelesen und akzeptiert hättest, wäre Dir wohl aufgefallen, der der Hersteller eQ-3 unter Punkt 2.2 solche Dinge insbesondere ein Reverse Engineering grundsätzlich ausschließt und Du damit die EULA von eQ-3 ablehnst und die Homematic IP App und Homematic IP Cloud dann auch nicht nutzten darfst.

Zu einer Rückentwicklung der Software (re-engineering) oder einem nicht zu der vertragsgegenständlichen Nutzung der App bzw. des Cloud-Service bezwecktem Nutzen, [...] ist der Nutzer nicht berechtigt und hat dies zu unterlassen.

[scsscs]

Danke sehr für eure Antworten!
Es liegt mir fern, irgend etwas von dieser App rückentwickeln zu wollen (ich hätte die Fähigkeiten dazu auhc nicht)!
Vielmehr geht es darum:
Untersucht werden soll, ob und in welchem Umfang sich eine Homematic eignet, um bei Ereignissen wie zum Beispiel Feuer, Wasserschaden, Einbruch, CO2 etc...
Rückschlüsse/Beweise zu finden. Zum Beispiel Antworten auf folgende Fragen geben:
- Ob sich jemand im Raum befand als Rauch/Wasser detektiert wurde.....ob jemand dann das Fenster geöffnet hat...oder durch welche Türe geflüchtet ist etc...
- Wann/ob jemand nach Hause gekommen ist, wenn ja durch welche Tür er rein ging etc...
- Ob eine zweite Person den Raum betrat...
- Ob es geregnet hat als.....

Ja, mir ist bewusst, dass die Aktivitäten der Sensoren/Aktoren geloggt werden können bei CCU3.
Die Fragen meinerseits waren mehr:
Wo überall finde ich sonst noch Logs/Systemprotokolle die solche Aussagen/Vermutungen untermauern können?
Besteht auch eine Systemprotokoll/Log-Möglichkeit wenn die Sensoren/Aktoren über Access Point betrieben werden (also ohne CCU3)
Wenn ich richtig verstanden habe gibt es nur die App und kein Webinterface bei Betrieb über Access Point. Gibt es evtl. in der App einen Log-Zugriff?

Oder generell nders gesagt/gefragt:
Wie oft wird wohl das Logging eingeschaltet/verwendet bei einer Standard-Installation CCU3 oder HM über Access Point?
Lohnt es sich in Betracht zu zeihen, dass bei Feuer, Wasserschaden, Einbruch, CO2 etc.. relevante LogDaten aus den Systemen/Apps geholt werden könnten,
welche zur Aufklärung des Vorfalles hinzugezogen werden könnten?
Heisst, historische Daten von einem "Standardsystem, welches nicht extra dazu vorbereitet/installiert wurde, um Logs/Daten länger/nach extern zu speichern.
Konkret: Wie gut/schlecht könnten Logs eines "einfachen/üblich installierten 08-15 HM Systems (tausendfach installiert in Europa) Rückschluss zu obigen Fragen geben können?

Danke sehr, ich hoffe ich habe mich jetzt etwas besser ausgedrückt.

LG scs

[Henke]

CCU-Historian kennst du?

[Fonzo]

Vielmehr geht es darum:
Untersucht werden soll, ob und in welchem Umfang sich eine Homematic eignet, um bei Ereignissen wie zum Beispiel Feuer, Wasserschaden, Einbruch, CO2 etc...
Rückschlüsse/Beweise zu finden.

Auch die Frage beantwortet der Hersteller eQ-3 relativ klar für Homematic IP mit der Homematic IP App in der EULA unter Punkt 2.6

2.6 Die App und die Cloud Services dürfen nur durch den Anwender und nur zu den vereinbarten Zwecken verwendet werden. Die App und die Cloud Services sind nicht für Anwendungen in den Bereichen Sicherheit, direkte Personensicherheit und Medizin entwickelt und geeignet und dürfen daher in diesen Bereichen nicht eingesetzt werden.

Daher kannst Du wohl nicht erwarten, mit so einem System rechtssichere Beweise zu sichern, wenn das System vom Hersteller eQ-3 für so was nicht freigegeben wurde.

[shartelt]

bringt halt nur bei der ordentlichen Zentrale was, nicht bei der Cloud Geschichte.

Nur eine Middleware die an der Cloud andocken kann, könnte den Wunsch erfüllen...

[MichaelN]

Ich würde sagen das kannst Du vergessen.
Du müsstest also praktisch alle Kanäle auf logging stellen Und dann ist das Log so schnell übergelaufen, daß quasi sofort nach dem zu analysierenden Ereignis die CCU runter gefahren werden muss. Das wird kaum passieren, da bei solchen von Dir genannten Ereignissen die Leute andere Sorgen haben.

Interessanter fände ich die Fragestellung ob man einen "Einbruch" in die CCU über eine offene Portweiterleitung forensich analysieren und nachweisen kann. Dafür gibt es natürlich kein Logging ala "protokolliere alle unberechtigten" Zugriffe. Aber dann wäre es ja auch keine Projektarbeit....

[Fonzo]

Zum Beispiel Antworten auf folgende Fragen geben:
- Ob sich jemand im Raum befand als Rauch/Wasser detektiert wurde.....ob jemand dann das Fenster geöffnet hat...oder durch welche Türe geflüchtet ist etc...
- Wann/ob jemand nach Hause gekommen ist, wenn ja durch welche Tür er rein ging etc...
- Ob eine zweite Person den Raum betrat...

Für solche Dinge ist Homematic / Homematic IP aus meiner persönlichen Sicht grundsätzlich nicht geeignet und wurde dafür auch nicht vom Hersteller eQ-3 konzipiert. Wenn Du so was detektieren willst, brauchst Du professionelle Präsenzmelder, die auch wirklich richtige Personenerkennung beherrschen wie z.B. von Steinel True Presence, das ist aber KNX.

Bei einem Bus System kannst Du auch beliebig viele Logs machen, bzw. Daten über den Bus auslesen im Gegensatz zu einem Funksystem, bei dem Du so oder so nur in einem Intervall eingeschränkt durch den Duty Cycle bzw. gesetzliche Vorgaben im Funkfrequenzband Daten auslesen kannst.